摘要：Web服務(wù)的分布式與異構(gòu)性，使得對(duì)服務(wù)請(qǐng)求者的身份認(rèn)證和授權(quán)復(fù)雜化。針對(duì)這些問(wèn)題提出了一個(gè)基于SAML、XACML、RBAC等關(guān)鍵技術(shù)的身份認(rèn)證與訪問(wèn)控制模型。該模型采用SAML輔件技術(shù)實(shí)現(xiàn)Web服務(wù)的單點(diǎn)登錄；用XACML實(shí)現(xiàn)RBAC模型，簡(jiǎn)化授權(quán)管理，同時(shí)達(dá)到對(duì)資源的細(xì)粒度訪問(wèn)控制的目標(biāo)；用擴(kuò)展的SAML語(yǔ)法保證XACML信息的安全有效傳輸。

關(guān)鍵詞：Web服務(wù)；身份認(rèn)證；基于角色訪問(wèn)控制；可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言；安全斷言標(biāo)記語(yǔ)言

引言

Web服務(wù)是新一代企業(yè)計(jì)算的關(guān)鍵技術(shù)，實(shí)現(xiàn)了不同環(huán)境之間的互操作，目前已經(jīng)在Internet上得到了廣泛的應(yīng)用。但是基于異構(gòu)系統(tǒng)這一特性也帶來(lái)了一系列的安全性問(wèn)題。Web服務(wù)跨域協(xié)作時(shí)，需要在最初服務(wù)者背后跨越多個(gè)服務(wù)為服務(wù)請(qǐng)求者傳遞認(rèn)證與授權(quán)信息，由于對(duì)資源的訪問(wèn)控制變成了分布式管理方式，相同的安全策略可能在組織內(nèi)部的多個(gè)點(diǎn)執(zhí)行，需要一種能夠相互理解的策略描述語(yǔ)言。因?yàn)樾枰ＷC網(wǎng)絡(luò)資源不被非法訪問(wèn)和使用，授權(quán)訪問(wèn)機(jī)制變得復(fù)雜化。安全斷言標(biāo)記語(yǔ)言(seeurity Assertion Markup Language，SAML)提供了一個(gè)健壯且可擴(kuò)展的數(shù)據(jù)格式集，可用于在各種環(huán)境下交換數(shù)據(jù)和身份識(shí)別信息?？蓴U(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言(eXtensible Access Control Markup Language，XACML)提供了創(chuàng)建策略和規(guī)則來(lái)控制資源訪問(wèn)的機(jī)制，是一種比簡(jiǎn)單的拒絕訪問(wèn)或授權(quán)訪問(wèn)更細(xì)粒度的訪問(wèn)控制?；诮巧L問(wèn)控制(Role Based Access Control，RBAC)引入了角色的概念，解耦了用戶與權(quán)限的關(guān)系，是替代傳統(tǒng)的強(qiáng)制訪問(wèn)控制和自主訪問(wèn)控制的一項(xiàng)重要技術(shù)。本文給出了一個(gè)基于SAML、XACML、RBAC等關(guān)鍵技術(shù)的身份認(rèn)證與訪問(wèn)控制模型，可有效地解決上述Web服務(wù)的安全問(wèn)題。

1 技術(shù)概述

1.1 RBAC模型

基于角色的訪問(wèn)控制是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問(wèn)控制的有效方法。在RBAC中權(quán)限被賦予角色，而不是用戶，當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí)，此用戶就擁有了該角色所包含的權(quán)限。引入角色概念的好處是，把用戶與權(quán)限隔離開(kāi)來(lái)，角色作為用戶與權(quán)限的代理層，解耦了權(quán)限與用戶的關(guān)系；在企業(yè)中角色相對(duì)于用戶的變化要小得多，對(duì)用戶權(quán)限的授予和收回只是簡(jiǎn)單地分配或取消用戶特定的角色，從而減小了授權(quán)管理的復(fù)雜性，降低了管理開(kāi)銷；同時(shí)能靈活地支持企業(yè)的安全策略，并對(duì)企業(yè)的變化有很大的伸縮性，當(dāng)企業(yè)的安全策略發(fā)生變化時(shí)能很快地對(duì)角色模型作出調(diào)整，而不再需要修改應(yīng)用代碼。

1.2 SAML和XACML規(guī)范

現(xiàn)代Web服務(wù)，往往需要多個(gè)服務(wù)相互協(xié)作來(lái)完成用戶的某項(xiàng)請(qǐng)求，但是每個(gè)Web服務(wù)都有單獨(dú)的認(rèn)證系統(tǒng)，用戶需要多次承受認(rèn)證的麻煩，因此人們認(rèn)識(shí)到需要有一種在不同的協(xié)作域之間傳遞實(shí)體信息，域又不失去對(duì)這些信息的所有權(quán)的機(jī)制。SAML滿足了這種要求，它通過(guò)一個(gè)標(biāo)準(zhǔn)的認(rèn)證過(guò)程，使用一組給定的標(biāo)準(zhǔn)對(duì)一組指定的用戶進(jìn)行身份驗(yàn)證，驗(yàn)證結(jié)果以斷言方式加載在消息中，各個(gè)安全域都承認(rèn)認(rèn)證結(jié)果的合法性。SAML建立了一種獨(dú)立于協(xié)議和平臺(tái)的驗(yàn)證和授權(quán)交換機(jī)制，其框架是基于XML的，很容易集成到Web服務(wù)中。

SAML為驗(yàn)證、授權(quán)聲明和使用XML傳輸這些聲明提供了機(jī)制，但還需要詞匯來(lái)表示授權(quán)決策所需的規(guī)則。XACML就是專門為表示授權(quán)規(guī)則而開(kāi)發(fā)的。XACML定義了一種通用的用于保護(hù)資源的策略語(yǔ)言和一種訪問(wèn)決策語(yǔ)言，使策略管理和訪問(wèn)決策標(biāo)準(zhǔn)化。策略語(yǔ)言允許管理員定義訪問(wèn)控制需求，以便獲取所需的應(yīng)用資源；訪問(wèn)決策語(yǔ)言，則用于描述對(duì)資源運(yùn)行時(shí)的請(qǐng)求。策略語(yǔ)言和模式支持包括數(shù)據(jù)類型、函數(shù)和允許定義復(fù)雜(或簡(jiǎn)單)規(guī)則組合邏輯，當(dāng)確定了保護(hù)資源的策略之后，函數(shù)會(huì)將請(qǐng)求中的屬性與包含在策略規(guī)則中的屬性進(jìn)行比較，最終生成一個(gè)許可或拒絕決策。

SAML提供了傳輸機(jī)制，XACML定義了語(yǔ)言規(guī)范，因此，結(jié)合使用擴(kuò)展的SAML語(yǔ)法與XACML可以實(shí)現(xiàn)訪問(wèn)控制。我們用例子(圖1)來(lái)描述結(jié)合使用SAML XACML的訪問(wèn)控制流程。某主體想對(duì)某個(gè)資源如文件系統(tǒng)或者Web服務(wù)器采取某種操作，首先向策略執(zhí)行點(diǎn)(PEP)提交授權(quán)請(qǐng)求。PEP根據(jù)主體，請(qǐng)求的資源，操作類型和環(huán)境用XACML語(yǔ)言生成請(qǐng)求并把請(qǐng)求發(fā)送到策略決策點(diǎn)(PDP)。PDP到策略訪問(wèn)點(diǎn)(PAP)檢查請(qǐng)求、檢索適用于該請(qǐng)求的策略，并根據(jù)需要到策略信息點(diǎn)(Pie)檢索與主體、資源或者環(huán)境有關(guān)的屬性值，然后根據(jù)評(píng)估策略的XACML規(guī)則，確定要不要授予對(duì)應(yīng)的操作權(quán)并把響應(yīng)返回給PEP。PEP根據(jù)PDP發(fā)送的授權(quán)決策允許或拒絕主體訪問(wèn)資源。圖中對(duì)屬性的請(qǐng)求和響應(yīng)使用SAML的標(biāo)準(zhǔn)語(yǔ)法，策略集和授權(quán)結(jié)果的請(qǐng)求和響應(yīng)由于需要使用XACML語(yǔ)言，可以使用擴(kuò)展的SAML語(yǔ)法，所有消息都通過(guò)SAML的傳輸機(jī)制得到傳輸和保護(hù)。

2 訪問(wèn)控制模型描述

結(jié)合SAML，XACML兩者的使用，我們可以較好地實(shí)現(xiàn)RBAC模型。圖2描述了在Web服務(wù)中實(shí)現(xiàn)單點(diǎn)登錄和細(xì)粒度的控制訪問(wèn)過(guò)程。

(1)客戶端選擇服務(wù)用SAML語(yǔ)言發(fā)送訪問(wèn)請(qǐng)求給PEP。如果客戶端已經(jīng)通過(guò)認(rèn)證和角色分配，傳送的消息將攜帶SAML輔件(artifact)。

(2)PEP接收請(qǐng)求并解析收到的SAML消息，檢查是否包含SAML輔件。如果沒(méi)有包含則重定向到認(rèn)證中心，角色分配服務(wù)，要求用戶首先進(jìn)行登錄認(rèn)證；否則PEP根據(jù)輔件向認(rèn)證中心請(qǐng)求認(rèn)證斷言和角色斷言。認(rèn)證中心返回SAML響應(yīng)結(jié)果，PEP驗(yàn)證斷言的合法性，驗(yàn)證通過(guò)則進(jìn)入第四步，否則向客戶端返回錯(cuò)誤提示。

(3)認(rèn)證中心，角色分配服務(wù)使用用戶提交的用戶名和口令進(jìn)行身份認(rèn)證。如果驗(yàn)證成功則給用戶分配相應(yīng)的角色，隨后生成認(rèn)證斷言和角色斷言，同時(shí)生成斷言的輔件，將此輔件返回給客戶，并將用戶請(qǐng)求重定向到PEP(此重定向URL中包含了輔件)。

(4)PEP將客戶端發(fā)送的請(qǐng)求信息，和從認(rèn)證中心獲得的角色斷言生成擴(kuò)展的SAML的授權(quán)決策請(qǐng)求，發(fā)送給PDP。

(5)，(6)PDP收到請(qǐng)求后，向PIP查詢相關(guān)的屬性值，包括主體，訪問(wèn)的資源，動(dòng)作，環(huán)境等。

(7)，(8)PDP將用戶請(qǐng)求，角色，和在上步中獲得的屬性值生成擴(kuò)展的SAML策略請(qǐng)求，PAP根據(jù)請(qǐng)求中包含的目標(biāo)的限制條件從策略服務(wù)器中檢索，把匹配目標(biāo)的訪問(wèn)控制策略返回給PDP。訪問(wèn)控制策略是基于XACML的RBAC策略，包括角色策略集，訪問(wèn)權(quán)限策略集。

(9)PDP對(duì)返回的訪問(wèn)控制策略進(jìn)行評(píng)估，判定當(dāng)前角色是否具有相應(yīng)的訪問(wèn)權(quán)限，然后作出授權(quán)決策發(fā)送給PEP。

(10)PEP根據(jù)授權(quán)決策決定是否允許用戶訪問(wèn)對(duì)應(yīng)的Web服務(wù)。

假如用戶還需要訪問(wèn)另一個(gè)Web服務(wù)：Web Service 2，此時(shí)不需再次登錄，訪問(wèn)過(guò)程從步驟(2)開(kāi)始。

本模型將角色分配實(shí)體和認(rèn)證權(quán)威機(jī)構(gòu)作為一個(gè)實(shí)體處理，減少了模型的復(fù)雜性。在客戶端發(fā)起訪問(wèn)請(qǐng)求時(shí)SAML輔件作為URL查詢字符串的一部分帶給目標(biāo)站點(diǎn)，目標(biāo)站點(diǎn)使用這個(gè)輔件從認(rèn)證中心取得斷言信息。如果不采用輔件，信息量很大的斷言需要在客戶端與服務(wù)器間傳輸，從而在效率上將受到很大影響。另外，斷言是有關(guān)用戶身份的敏感信息，如果直接在網(wǎng)上傳輸，容易受到網(wǎng)絡(luò)攻擊。所以，采用輔件技術(shù)既減少了傳輸量又提高了系統(tǒng)安全性。

3 結(jié)束語(yǔ)

針對(duì)當(dāng)前Web服務(wù)領(lǐng)域?qū)Π踩男枨?，本文提出了一個(gè)基于SAML、XACML、RBAC等關(guān)鍵技術(shù)的身份認(rèn)證與訪問(wèn)控制模型，并對(duì)模型的工作流程做了詳細(xì)的介紹。該模型結(jié)合三種技術(shù)的優(yōu)勢(shì)有效解決了Web服務(wù)的跨域合作所帶來(lái)的安全問(wèn)題。單點(diǎn)登錄技術(shù)使用戶在使用多個(gè)Web服務(wù)時(shí)無(wú)需進(jìn)行多次登錄，用戶賬戶管理可以更加方便、安全?；诮巧脑L問(wèn)控制實(shí)現(xiàn)了用戶與訪問(wèn)權(quán)限的邏輯分離，極大地方便了權(quán)限管理，實(shí)現(xiàn)了對(duì)資源的細(xì)粒度訪問(wèn)控制?；诓呗缘氖跈?quán)訪問(wèn)使系統(tǒng)的安全配置更加靈活高效。